2023 年 OWASP API 安全 10 强报告

对各个行业的企业而言,API(应用程序编程接口)都是重要的工具。由于 API 在许多领域的使用日渐增多,而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分,因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户(以及项目经理、安全研究人员和培训人员)洞察当前最严重的 API 相关安全漏洞。

它为什么重要

API 的威胁格局在不断发生变化。API 会暴露应用程序逻辑和个人可识别信息 (PII) 等敏感数据,因此成为攻击者的目标。这些因素使得 API 更加难以分析,并会明显改变威胁格局。为了跟上步伐,OWASP 组织提出了 OWASP API 安全十大报告,重点关注了解和减轻 API 的独特漏洞和安全风险的策略和解决方案。

OWASP API Security Top 10 漏洞

ID 名称
API1 失效的对象级别授权
API2 身份验证被破坏
API3 损坏的对象属性级别授权
API4 资源消耗不受限制
API5 失效的功能级别授权
API6 无限制访问敏感业务流程
API7 服务器端请求伪造
API8 安全性错误配置
API9 库存管理不当
API10 API 的不安全使用